クラウドコンピューティングのセキュリティーで考慮すべきリスクと対策

企業のITインフラやサービスに不可欠となっているクラウドコンピューティングですが、クラウドのオープンな環境を扱うゆえ、セキュリティー面でも従来のオンプレミスとは異なる考慮・対策が求められます。

この記事では、クラウド活用の際に考慮すべき、セキュリティーのリスクと対策についてご説明します。

クラウドコンピューティングで考慮すべきセキュリティーリスクとは

従来のオンプレミスなどと比べてクラウドコンピューティングは、柔軟性や拡張性などの面で多くのメリットを有する一方、セキュリティー面では考慮すべきリスクがあることも事実です。

1. アクセス権限の不適切な管理

クラウド環境では多様なユーザーが活動することから、アクセス権限の不備はセキュリティーリスクに直結します。

例えば、機密プロジェクトに関与しない社員や外部パートナーに誤って権限を付与してしまうと、該当プロジェクトのデータにアクセスできてしまう可能性があります。

2. データ機密性・安全性の侵害

データ機密性とは、データが秘匿性を有し、許可された者だけがアクセスできるようにすることです。そしてデータ安全性とは、データが正確かつ完全な情報を保持することを指します。

クラウドコンピューティングではネットワークを物理的に切り離さないことが前提となることから、クラウド上にデータを保管することは、不正アクセスやデータ漏洩の危険性に晒されることを意味します。そして不正アクセスは、データの改竄や破壊によって、安全性に対する脅威となります。

3. 可用性の侵害

可用性とは、許可された者がいつでもデータにアクセスできるようにすることを指します。可用性を維持するとは、データにいつでもアクセスできたり利用できるということです。

可用性の侵害は、予期せぬ障害やネットワークの問題、サイバー攻撃などによって生じ、事業継続性における重要リスクとなります。

4. セキュリティーの利用者責任

クラウドサービスでは通常、環境のセキュリティーについて責任の分岐点を定める「責任共有モデル」を採用しており、管理主体が責任を負うという原則から、一定の利用者責任を負う必要があります。

利用者責任の範囲は一般的に、SaaSではデータやIDの管理に留まる一方で、IaaSではアプリケーションやOSレベルまで広がることとなります。

クラウドコンピューティングにおけるセキュリティー対策とは

クラウドコンピューティングのセキュリティー対策では、企業のデータや資産を「機密性」「完全性」「可用性」の脅威から保護することが重要です。そのためには、次のような項目について対策する必要があります。

1. IAMの強化

ユーザーやアプリケーションへのアクセスを最小限に抑えることは、セキュリティー強化の基本です。

IAM(Identity and Access Management、アイデンティティーとアクセスの管理)は、この原則に基づいて構築され、システムやデータへの権限を厳密に管理します。これは、ユーザーがプロジェクトに不要な権限を持たないようにするなど、最小特権の原則に従って権限を設定することで実現されます。

IAMはまた、MFA(多要素認証)やSSO(シングルサインオン)などといったセキュアな認証手段を提供し、アイデンティティーの偽装や不正なアクセスからの保護を向上させ、よりセキュアなクラウド環境を構築できるようになります。

2. データの暗号化

データの機密性を確保する上で欠かせない手法の一つが、データの暗号化です。データが転送される際や保管される際に、AESやRSAなどの暗号アルゴリズムを用いて暗号化することで、不正アクセスや盗聴などの脅威からデータを保護します。

3. 可用性の確保

可用性を確保するためによく採用されるのは、システムやコンポーネントの冗長化やフェイルオーバーです。

例えば、メインシステムとは異なるリージョンにバックアップ用のシステムを構築し、障害時には自動切り替えさせることで、システムダウンを回避し、サービスの継続性を確保します。また、分散型アーキテクチャーの導入によってサーバーやデータを分散させることで、地理的なリスクを最小化することも可能です。なお昨今では、異なるクラウドベンダーのサービスを組み合わせることで、可用性を確保する動きも採られるようになっています。

4. ソフトウェアの最新化

システムのソフトウェアやコンポーネントなどを適切にアップデートすることも、セキュリティー対策として有効です。最新のアップデートやセキュリティーパッチを適用することで、ソフトウェアにおける脆弱性などの問題を最小限に抑え、攻撃や障害へも対処しやすくなります。

5. 監査とモニタリング

システムやネットワーク上のアクティビティーを定期的かつリアルタイムに監視することで、万一のセキュリティーインシデントの発生時にも早期対処できるようにします。

SIEM(Security Information and Event Management、セキュリティー情報とイベント管理)のソリューションを導入すると、ログ収集や異常検知を効率化し、監査とモニタリングを効果的におこなえるようになります。例えば、不正なアクセスやデータ変更を検知したり、あらかじめ定義した特定アクションに関する異常パターンについても検知できるようになります。

6. クラウドベンダーにおけるセキュリティー対応状況の確認

クラウドベンダー側のセキュリティー対応状況についても、確認する必要があります。

例えば、データセンターに入室できる人が適切に制限されているか、電力やネットワークを含めて冗長化されているか、のような基本的な情報を開示しているかどうかも確認すると良いでしょう。

クラウドコンピューティングで利用するシステムの重要度などに応じて、次のような認証を取得しているかどうかも確認するようにしましょう。

ISO/IEC 27017
SOC 2
PCI DSS

まとめ

安全にクラウドコンピューティングを活用するためには、当然ながらセキュリティー面でも対応が欠かせません。クラウドの普及に伴って、権限管理の不備などによるセキュリティー事故も多発しています。クラウドならではの特性も踏まえ、安全に活用するための体制を整えましょう。

当社では、CDN・WebセキュリティーのパイオニアであるAkamai社が開発・提供する各種サービスを、長年にわたって取り扱っており、数多くのお客様へご提供しております。

Akamai社では新たに、これまでに培ってきたCDNサービスなど高速配信の技術を活かして、クラウドコンピューティングサービスの提供を開始しています。ご興味いただけましたら、是非お気軽にお問い合わせください。